המחשב שלי נדבק ב"תולעת" - cws.msconfig...צריך עזרה ! - Windows - HWzone פורומים
עבור לתוכן
  • צור חשבון

המחשב שלי נדבק ב"תולעת" - cws.msconfig...צריך עזרה !

dududs

נוצר על ידי dududs
ב Windows

Recommended Posts

dududs Zone Wannabe

dududs

פורסם
פורסם

שאני משנה הגדרות בmsconfig זה רושם לי שאני לא חשבון מנהל ( ואני כן ) למרות שהמחשב מקבל את השינויים שאני עושה.

שהרצתי בדיקה של רוגלות בתוכנה cwshredder הוא מצא לי את התולעת cws.msconfig הוא מסיר אותה ואז אני מריץ שוב בדיקה והוא מוצא אותה שוב.

( הרצתי אותה גם בsafe mode לא פותר את הבעיה.

נדמה לי שהשורה הזאת בעייתית - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

אני מוחק אותה והיא חוזרת לי כל פעם אחרי שאני מפעיל את msconfig...

וגם שהתוכנה cwshredder "מסירה" לי את התולעת השורה הזאת שציינתי למעלה נעלמת.(כלומר,היא מחקה אותה כי היא מקור הבעיה).

אך כצפוי שאני מפעיל את msconfig הכל שוב חוזר לקדמותו....(רשום לי שאין באפשרותי לבצע שינויים כי אני לא מנהל המחשב).

קישור לתוכן
שתף באתרים אחרים
dududs Zone Wannabe

dududs

פורסם
  • מחבר
פורסם

תודה על העזרה אך אין לי בכלל את הקובץ openme.htm במחשב.

כל פעם שאני עושה שינוי כלשהו בmsconfig זה מה שרשום לי :

"an access denied error was returned while attemping to chang a service.you may need to log on using an adminstrator account to make the specified changes"

גם במצב safe mode ועם כל חשבון מנהל שיש לי על המחשב.גם יצרתי חשבון מנהל חדש וגם אני מקבל את הודעה בmsconfig.

אשמח לעוד תגובות ממכם...

קישור לתוכן
שתף באתרים אחרים
inon22 Zone Wannabe

inon22

פורסם
פורסם

OK אז המצב קצת יותר מסובך. לך תוריד את HIJACK THIS (תעשה חיפוש בגוגל) תעשה סריקה עם SCAN LOG. זה יצור לך קובץ טקסט, תעתיק לפה את התכולה של הקובץ ונראה איך ממשיכים.

בכל מקרה לפני שאתה עושה את הנ"ל קח לעצמך כמה דקות ותעשה את הצעדים הבאים:

1. ביטול שיחזור מערכת:

קליק ימנ י על המחשב שלי-->מאפיינים-->שחזור מערכת-->סמן את בטל שחזור מערכת

2. מחיקת קבצים זמניים:

1.דאבל קליק על המחשב שלי, לך ל'כלים'-->אפשריות תקיה-->תצוגה-->ובחר הראה קבצים נסתרים

2. לך ל-מחשב שלי-->documents and settings-->USER NAME-->Local settings-->Temp--> ומחק את כל תוכן התקייה.

3. אותו דבר לתקיית TEMP או TMP שנמצאת בתוך תקיית או בכונן C: (במידה ו נמצא ב-D או חפש ב-D)

.3 פתח את REGEDIT : התחל-->הפעלה--> REGEDIT --> ואנטר (מקש ENTER)

בREGEDIT לך ל:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunServices

ותרשום פה מה יש שם . (יכול להיות שלא תמצא את ה RunServices ב-REGEDIT וזה בסדר.)

בהצלחה.

קישור לתוכן
שתף באתרים אחרים
dududs Zone Wannabe

dududs

פורסם
  • מחבר
פורסם

booz תודה רבה על ההשקעה בתגובה :)

אז ככה :

hijackthis כבר בדקתי ומצאתי שורה אחת לא תקינה שרשמתי למעלה.(שכל פעם חוזרת לי שוב אחרי שאני מעלה את msconfig )

את 1.ביטול שיחזור מערכת כבר עשיתי.

את 2.עשיתי דרך ccleaner ( אני פשוט עצלן ).

את 3.בקשר לregistry :

הנתיב שציינת HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

קיים אך ריק מנתונים ( בחלון בצד ימין).

למרות זאת בדקתי כבר דרך תוכנה autoruns למי שמכיר.( לא מצאתי משהו חריג).

הנה הנתונים מhijackthis :

Logfile of HijackThis v1.97.7

Scan saved at 12:48:27 PM, on 1/6/2007

Platform: SP2 (WinNT 5.01.2600)

MSIE: Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Diskeeper\DkService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\FolderSize\FolderSizeSvc.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\utils\Hot Keyboard Pro\HotKeyb.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\utils\ICQLite\ICQLite.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\utils\sharpreader\SharpReader.exe

C:\utils\CCleaner\ccleaner.exe

C:\WINDOWS\regedit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ynet.co.il/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\utils\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\utils\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

***********************************************************************************************

O4 - HKLM\..\Run: [MSConfig] C:\DOCUME~1\DuduSh\Desktop\msconfig.exe /auto זאת השורה שחוזרת לי כל פעם אחרי שאני מוחק או שהתוכנה לניקוי רוגלות שמסירה זמנית את התולעת מוחקת גם אותה ושאני מעלה את msconfig היא חוזרת כל פעם

**********************************************************************************************

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Hot Keyboard] C:\utils\Hot Keyboard Pro\HotKeyb.exe -minimized

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\utils\ICQLite\ICQLite.exe -trayboot

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: No More Cookies (HKLM)

O9 - Extra 'Tools' menuitem: No More Cookies (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/3/9/8/398422c0-8d3e-40e1-a617-af65a72a0465/LegitCheckControl.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar1.google.com/data/iw/big/1.1.62-big/GoogleNav.cab

O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D79B6F43-F214-4E7A-9ECB-CCC8771F2416} (LauncherV1 Class) -

קישור לתוכן
שתף באתרים אחרים
inon22 Zone Wannabe

inon22

פורסם
פורסם

OK, הלוג שלך נראה נקי למדי, ואם אני מבין את זה נכון אז השורה הזו שאתה מתלונן עליה אמורה לחזור לך כל פעם שאתה עושה שינויים ב .MSCONFIG

בא ננסה משהו אחר.

השורה הזו כרגע נמצאת בלוג, ז"א שהיא קיימת ב REGISTRY ב:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

חפש את השורה המציקה לך, סמן אותה ומחק.

תפעיל מחדש את המחשב ותראה אם השורה הזו מגיחה שוב.

בכל מקרה ה cws.msconfig היא נגזרת של CoolWebSearch וקיימים באינטרנט המון כלים להתמודד אתה ועם הגרורות שלה.

ההודעה שאתה מקבל כשאתה מפעיל את ה-MSCONFIG מעניינת אותי. אתה יכול להעתיק אותה מילה במילה לפה? (עדיף באנגלית).

נסה להריץ את ה- MSCONFIG כמשתמש אחר. לך ל- C:\WINDOWS\pchealth\helpctr\binaries מצא את MSCONFIG.EXE תלחץ קליק ימני ובחר 'הרץ כ' או RUN AS ומהחלון שיפתח תבחר המשתמש: ADMINISTRATOR.

עכשיו, אם אני לא טועה ה-cws.msconfig היא BHO שזה BROWSER HELPER OBJECT. נסה לראות איזה תוספים חשודים יש לך באינטרנט אקספלורר.

בשביל זה לך ללוח בקרה-->אפשריות -->תוכניות-->manage addons (לא יודע איך קוראים לזה בעברית) וכבה את כל מה שלא נראה לך (גם אם אתה מכיר את ה AUTHOR.

וכמובן, דווח מה קורה.

קישור לתוכן
שתף באתרים אחרים
dududs Zone Wannabe

dududs

פורסם
  • מחבר
פורסם

שאני עושה שינויים בmsconfig אני מקבל את ההודעה הבאה :

"an access denied error was returned while attemping to chang a service.you may need to log on using an adminstrator account to make the specified changes"

הbho היחידים שיש לי הם אלו :

acroiehelper

sdhelper

ssl

googletoolbar

כמובן כולם קבצי dll.

אין איתם שום בעיות כי אני חסמתי את כולם ועדיין הבעיה קיימת.

אי אפשר לעלות את msconfig דרך run as - adminstator.

מופיע לי הודעה "user account restriction".

עריכה :

כש Spybot - Search & Destroy יושבת בזיכרון של המחשב.

אחרי שאני נכנס לmsconfig ויוצא ממנה ( למרות שאני לא עושה שם שום שינוי )

קופצת לי הודעה מSpybot - Search & Destroy שנעשה שינוי בערך מסוים האם לאשר או לסרב.

כמובן שאני לוחץ סירוב ואז מונע את הכניסה של התולעת.(וכמובן יש שם אפשרות לסמן וי כדי שיזכור את הפעולה הזאת תמיד).

אבל,כל זה רק Spybot - Search & Destroy יושבת בזיכרון של המחשב.

החלפתי גם את הקובץ msconfig לא עוזר.

למישהו יש עוד רעיונות ?

קישור לתוכן
שתף באתרים אחרים
inon22 Zone Wannabe

inon22

פורסם
פורסם

אני מבין את התסכול שלך, אני עדיין לא התיאשתי אז זה ממש לא יפה שאתה פונה לאחרים לעזרה. :'(

בכל מקרה, תגיד לי מותקן אצלך ה ZONE ALARM ??

בבקשה תגיד שכן, כי נראה לי שהיא דופקת לך את העניינים.

חזור ודווח

קישור לתוכן
שתף באתרים אחרים
dududs Zone Wannabe

dududs

פורסם
  • מחבר
פורסם

חחחחח...איזה לא פונה אליך...אתה היחיד שנותן לי עוד תקווה... :P

לא מותקן לי zone alarm...

כל הקטע שמצאתי עוד מישהו שקרה לו בדיוק מה שקורה לי עכשיו...

הציעו לו פתרונות שלטענתו פתרו לו את הבעיה...

בכל אופן לי זה לא הצליח

http://forums.spybot.info/showthread.php?t=7220

קישור לתוכן
שתף באתרים אחרים
inon22 Zone Wannabe

inon22

פורסם
פורסם

OK, אם ננתח את מה שמצאתי באינטרנט לגבי הבעיה שלך (ולצערי לא מצאתי הרבה) אז זה דיי ברור שתכנת כזו או אחרת אחראית לחסימה שלך מלהריץ את MSCONFIG בלי השגיאה.

לפי הלוג של HIJACK THIS אני רואה אחת חשודה עיקרית: AVG , אני הייתי מנסה להסיר אותה ולראות אם זה פותר את הבעיה, אם לא, אני הייתי מסיר את:

DISK KEEPER, FOLDER SIZE .

עכשיו בין SAFE MODE ולהסיר את AVG יש הבדל, SAFEMODE או ביטול הרצה של ה AVG דרך MSCONFIG או דרך REGEDIT לא יתן את אותה תוצאה כמו הסרה מלאה של AVG.

בהצלחה גבר.

קישור לתוכן
שתף באתרים אחרים
dududs Zone Wannabe

dududs

פורסם
  • מחבר
פורסם

תודה רבה על התגובה וההתעניינות שלך אבל לא נראה לי שזה הavg או folder size גורמים לכך...

ואם כן אז מעדיף להישאר איתם ועם התולעת... :'(

האמת שיש לי נורטון גוסט ששמר לי בערך 8 עותקים של הוינדוס של החודשיים האחרונים,

אבל אני לא רואה צורך אפילו להפעיל אחד מהם כי התולעת הזאת לא גורמת לשום נזק רציני מלבד

החלון שהיא מקפיצה שאני מפעיל את msconfig....

וגם אם היא גורמת לנזק כלשהו אז כרגע באופן זמני היא מנוטרלת ע"י spybot שמופעל בזיכרון של המחשב.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...